libcap应用:按协议抓取网络包

最新推荐文章于 2021-05-16 04:10:44 发布
原创 最新推荐文章于 2021-05-16 04:10:44 发布 · 置顶 · 567 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍了一个使用C++实现的网络包捕获与解析程序,通过libpcap库进行网络监听,解析并打印出捕获的数据包的详细信息,包括源MAC、目的MAC、源IP、目的IP、端口号及载荷等。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

#include <stdio.h>
#include <stdlib.h>
#include <time.h>
#include <sys/time.h>
#include <stdint.h>
#include <string.h>
#include <sys/socket.h>
#include <netinet/in.h>
#include <netinet/in_systm.h>
#include <netinet/ip.h>
#include <netinet/if_ether.h>
#include <netinet/tcp.h>
#include <netinet/udp.h>
#include <arpa/inet.h>
#include <pcap.h>
#include <netdb.h>
#include <iostream>
#include <string>
class capature_packet_show {
public:
    capature_packet_show() = default;
    virtual ~capature_packet_show() = default;
    capature_packet_show(const capature_packet_show &) = delete;
    capature_packet_show & operator = (const capature_packet_show &) = delete;
public:
    bool init() {
        return init_pcap_handle();
    }
    inline unsigned int get_net() const {
        return net_;
    }
    inline unsigned int get_mask() const {
        return mask_;
    }
    inline const char *get_net_string() const {
        return net_string_;
    }
    inline const char *get_mask_string() const {
        return mask_string_;
    }
    inline void set_filter(const char *filter) {
        filter_ = filter;
    }
private:
    inline void init_net_addr() {
        struct in_addr addr = { 0 };
        addr.s_addr = net_;
        net_string_ = inet_ntoa(addr);
        std::cout << "网络地址:" << net_string_ << std::endl;
        addr.s_addr = mask_;
        mask_string_ = inet_ntoa(addr);
        std::cout << "网络掩码:" << mask_string_ << std::endl;
    }
    bool init_pcap_handle() {
        char err[PCAP_ERRBUF_SIZE] = "";
        char *dev = pcap_lookupdev(err);
        if (!dev) {
            std::cerr << "查询网络设备错误:" << err << std::endl;
            return false;
        }
        std::cout << "获取网络设备:" << dev << std::endl;
        if (pcap_lookupnet(dev, &net_, &mask_, err) < 0) {
            std::cerr << "查询网络号和掩码失败:" << err << std::endl;
            return false;
        }
        std::cout << "网络号:" << net_ << " 掩码:" << mask_ << std::endl;
        init_net_addr();
        handle_ = pcap_open_live(dev, BUFSIZ, 1, 1000, err);        // 1 -- 混杂模式 1000 - 1000毫秒超时
        if (!handle_) {
            std::cerr << "打开网络设备失败:" << err << std::endl;
            return false;
        }
        struct bpf_program fp = { 0 };
        if (pcap_compile(handle_, &fp, filter_, 1, mask_) < 0) {
            std::cerr << "过滤器解析失败" << pcap_geterr(handle_) << std::endl;
            pcap_close(handle_);
            return false;
        }
        if (pcap_setfilter(handle_, &fp) < 0) {
            std::cerr << "过滤器安装失败" << pcap_geterr(handle_) << std::endl;
            pcap_close(handle_);
            return false;
        }
        std::cout << "开始循环抓包..." << std::endl;
        int id = 0;
        if (pcap_loop(handle_, -1, get_packet, (u_char *)(&id)) < 0) {
            std::cerr << "循环抓包失败" << pcap_geterr(handle_) << std::endl;
            pcap_close(handle_);
            return false;
        }
        pcap_close(handle_);
        return true;
    }
private:
    static void print_mac(const unsigned char* mac_addr) {
        int i = 0;
        for (;i < 5;i++) {
            printf("%.2x:", mac_addr[i]);       // 16进制,两位宽度
		}
        printf("%.2x", mac_addr[i]); 
    }
    static void print_ip(const unsigned char* ip_addr) {
        int i = 0;
        for (;i < 3;++i) {
            printf("%d.", ip_addr[i]);
        }
        printf("%d", ip_addr[i]);
    }
    static void print_protocol_type(unsigned int protocol_type) {
        switch (protocol_type) {
        case ETHERTYPE_IP:
            std::cout << "IPV4" << std::endl;
            break;
        case ETHERTYPE_PUP:
            std::cout << "PUP" << std::endl;
            break;
        case ETHERTYPE_ARP:
            std::cout << "ARP" << std::endl;
            break;
        default:
            std::cout << "unknow protocal." << std::endl;
            break;
        }
    }
    static void process_ip_packet(const struct pcap_pkthdr *pkthdr, const u_char *packet) {
        struct ip *ip_header = nullptr;
        struct icmphdr *icmp_header = nullptr;
        struct tcphdr *tcp_header = nullptr;
        struct udphdr *udp_header = nullptr;
        struct ether_arp *arp_packet = nullptr;
        ip_header = (struct ip *)(packet + sizeof(struct ether_header));
        std::cout << "源IP地址:";
        print_ip((unsigned char *)&(ip_header->ip_src));
        std::cout << std::endl;
        std::cout << "目的IP地址:";
        print_ip((unsigned char *)&(ip_header->ip_dst));
        std::cout << std::endl;
        switch (ip_header->ip_p) {
        case 1:
            std::cout << "传输层协议是ICMP" << std::endl;
            break;
        case 2:
            std::cout << "传输层协议是IGMP" << std::endl;
            break;
        case 6:
            std::cout << "传输层协议是TCP" << std::endl;
            tcp_header = (struct tcphdr*)(packet + sizeof(struct ether_header) + sizeof(struct ip));
            std::cout << "目的端口:" << ntohs(tcp_header->dest) << std::endl;
            std::cout << "源端口:" << ntohs(tcp_header->source) << std::endl;
            std::cout << "Payload:" << std::endl;
            std::cout << "字节数:" << pkthdr->len << std::endl;
            print_payload(packet, pkthdr->len);
            break;
        case 7:
            std::cout << "传输层协议是UDP" << std::endl;
            udp_header = (struct udphdr*)(packet + sizeof(struct ether_header) + sizeof(struct ip));
            std::cout << "目的端口:" << ntohs(udp_header->dest) << std::endl;
            std::cout << "源端口:" << ntohs(udp_header->source) << std::endl;
            std::cout << "Payload:" << std::endl;
            std::cout << "字节数:" << pkthdr->len << std::endl;
            print_payload(packet, pkthdr->len);
            break;
        default:
            std::cerr << "未知协议." << std::endl;
            break;
        }
    }
    static void print_payload(const unsigned char *payload, int len, int text) {
        for (int i = 0;i < len;i++) {
            if (1 == text) {
                printf("%c", payload[i]);
            }
            else {
                printf("%.2x", payload[i]);
            }
            if (0 == (i + 1) % 16) {
                std::cout << std::endl;
            }
        }
    }
    static void print_payload(const unsigned char *payload, int len) {
        print_payload(payload, len, 0);
        print_payload(payload, len, 1);
    }
    static void get_packet(u_char *arg, const struct pcap_pkthdr *pkthdr, const u_char *packet) {
        static uint64_t packet_num_ = 0;
        std::cout << "收到包的时间:" << ctime((const time_t*)&(pkthdr->ts).tv_sec) << std::endl;
        std::cout << "收到包的数量:" << ++packet_num_ << std::endl;
        std::cout << "收到包的字节数:" << pkthdr->len << std::endl;
        struct ether_header *eth = (struct ether_header *)(packet);
        std::cout << "源MAC地址:";
        print_mac(eth->ether_shost);
        std::cout << std::endl;
        std::cout << "目的MAC地址:";
        print_mac(eth->ether_dhost);
        std::cout << std::endl;
        unsigned int protocol_type = ntohs(eth->ether_type);
        print_protocol_type(protocol_type);
        if (ETHERTYPE_IP == ETHERTYPE_IP) {
            process_ip_packet(pkthdr, packet);
        }
    }
private:
    bpf_u_int32 net_ = 0;
    bpf_u_int32 mask_ = 0;
    const char *net_string_ = "";
    const char *mask_string_ = "";
    const char *filter_ = "ip";
    pcap_t *handle_ = nullptr;         // libpcap设备描述符号

};
int main() {
    capature_packet_show cps;
    if (false == cps.init()) {
        std::cerr << "init failed." << std::endl;
        return -1;
    }

    return 0;
}
g++ -std=c++11 -g -o test capture_packet_show.cpp -I ./  -lpcap

 

网络安全系列-二十二: BPF网络包过滤机制详解
penriver的博客
04-30 2964
BPF 一种抓取并过滤网络数据包(capture and filter packet)的内核结构(kernel architecture)。BPF包含2个重要的组成部分:网络分流器(network tap)和包过滤器(packet filter)。网络分流器负责从网络驱动拷贝数据包,而包过滤器则过滤掉不符合条件的数据包,只把符合需求的数据包上报给应用程序。 基本上所有的抓包工具的过滤底层都是基于BPF实现的。 本文介绍什么是BPF,BPF主要解决什么问题,什么程序使用BPF,BPF的设计及设计约束,最后
基于libcap网络包分析问题集锦(http post方式上传文件)
cloudary的专栏
08-06 2010
1. 关于http post方式中boudary Content-type一行中有boundary关键字,=号后面就是boundary的值,如 boundary=---------------------------16541483331115 ---------------------------16541483331115是分隔符,分隔多个文件、表单项。其 中16541483331115
C++中使用libpcap获取pcap文件中数据包的时间戳
赵宗义的专栏
06-27 2154
如题目所述, 本文主要分享一个在C++中获取pcap文件中数据包的时间戳的小程序. //解析.c #include <pcap.h> #include <net/ethernet.h> #include <netinet/ip.h> #include <netinet/in.h> #include <netinet/tcp.h> #include <arpa/inet.h> #include <stdio.h> #in
网络编程工程实训__实验一 使用Libpcap库抓包
Sandra_93的博客
07-13 495
一、实验任务: 使用前期搭建好的开发环境(Centos7.0+gcc+libpcap),使用C/C++语言开发一个应用程序,打开虚拟机网卡(与物理主机在同一个子网的)设备,抓取数据包,并打印数据包内容。 二、实验内容: 1.使用libpcap库的pcap_open_live()函数,打开虚拟机网卡,并根据打开成功与否,打印“Hello+你的项目组成员姓名!”(成功)或“Sorry+你的项目组成员姓...
(转)Libcap库学习::(一)简介
dieju8330的博客
11-16 847
Libpcap是Packet Capture library的英文缩写,即数据包捕获函数库,该库提供的C函数接口用于捕获经过指定网络接口(通过将网卡设置为混杂模式,可以捕获所有经过该网络接口的数据包)的数据包。 Libpcap面向上层应用,提供了用户级别的网络数据包捕获接口,在系统部署时充分考虑到应用程序的可以移植性。 Libpcap主要有如下功能: (1)数据包捕获 捕获流经本网卡的所有...
libpcap
pangenliang的专栏
10-08 1066
一、libpcap工作原理 libpcap主要由两部份组成:网络分接头(Network Tap)和数据过滤器(Packet Filter)。网络分接头从网络设备驱动程序中收集数据拷贝,过滤器决定是否接收该数据包。Libpcap利用BSD Packet Filter(BPF)算
libpcap网络抓包与分析.zip
07-09
该系统具有以下功能:(1)实时抓取网络数据。(2)网络协议分析与显示。(3)将网络数据包聚合成数据流,以源IP、目的IP、源端口、目的端口及协议等五元组的形式存储。(4)计算并显示固定时间间隔内网络连接(双向...
Ethereal:强大的网络协议分析工具
Ethereal的核心是pcap库(libcap),这使得它在数据抓取和过滤方面与TCPDUMP有共同之处,但其易用性和广泛协议支持则超越了后者。 Ethereal的设计理念是模块化和易于扩展,这使得添加新的协议解析器变得简单。自...
tcpxm:基于pylibcap的高效网络抓包分析工具
我们可以看出tcpxm作为一个基于pylibcap的Python抓包工具,不但具备了强大的网络数据捕获和分析能力,而且还有着良好的开源特性和灵活的多线程设计,使其在网络安全、性能分析和协议研究等领域有着广泛的应用前景。
深入浅出libcap嗅探器开发与示例解析
libpcap广泛应用于网络诊断、安全监控、网络协议分析和教育目的。 #### 描述:libcaplibcap示例程序 test1-6分别演示了如何开启网卡进行包的拦截示例 描述部分具体说明了libpcap库的使用示例。libpcap库提供了...
libcap使用方法
11-16
libcap是网络研究中很重要的工具,这篇文档详细得介绍了libcap的使用。
libcap linux抓包,自己用libpcap来抓包
weixin_36445525的博客
05-16 368
#define APP_NAME"sniffex"#define APP_DESC"Sniffer example using libpcap"#define APP_COPYRIGHT"Copyright (c) 2005"#define APP_DISCLAIMER"THERE IS ABSOLUTELY NO WARRANTY FOR THIS...
libpcap的使用一(pcap_lookupdev函数的使用)
xumesang的专栏
03-09 9882
首先要在Linux环境下安装libpcap.
Linux libpcap 内核函数,linux平台libpcap函数分析及流程(…
weixin_42366532的博客
04-29 286
本文函数来源,libpcapHakin9LuisMartinGarcia.pdf文档,文档只有9页,是英文版的,不过讲得比较详细,而且能帮助理解,我通过对文档的学习,然后结合网上的一些资料加以总结。这些天一直都在学习写一些抓包代码,由一片空白开始学习,通过在网上搜索资料,不断的摸索,慢慢地有了一些头绪,我将我的一些小小心得与大学分享。我总结的这些函数到处都可见,没有什么特别之处,只是让大家能了解编...
libpcap抓包并分析
热门推荐
Silvester123的博客
07-04 1万+
基于libpcap的数据包抓取 1.libpcap安装 前提安装gcc 然后安装输入如下命令: yum -y install flex yum -y install bison 在一个文件夹下下载libpcap源码并解压,在安装如下: wget -c http://www.tcpdump.org/release/libpcap-1.7.4.tar.gz 进入libpcap-...
实验一:网络嗅探器
weixin_30341735的博客
10-21 546
一:实验背景   为了深入了解和掌握TCP/IP协议栈以及数据包的格式,练习使用libpcap对网络数据包进行解析。   libpcap提供的接口函数主要实现和封装了与数据包截获有关的过程。利用libpcap的C函数库的接口,网络安全工具开发人员可以很方便地编写出具有结构化强、健壮性好、可移植性高等特点的程序。因此,这些函数库在网络安全工具的开发中具有很大的价值,在scanner、sniffe...
C/C++网络编程高级应用—— libpcap 详解
xiaoyaGrace的博客
05-15 1912
概述 libpcap 是一个网络数据包捕获函数库,功能非常强大,Linux 下著名的 tcpdump 就是以它为基础的。 libpcap主要的作用 1)捕获各种数据包,列如:网络流量统计。 2)过滤网络数据包,列如:过滤掉本地上的一些数据,类似防火墙。 3)分析网络数据包,列如:分析网络协议,数据的采集。 4)存储网络数据包,列如:保存捕获的数据以为将来进行分析。 libpcap 的安装 ...
基于libpcap实现抓包程序
成长之路
04-28 1万+
紧接着上一篇,成功通过tcpdump和wireshark抓包后,试试自己写一个抓包器。这里我们使用libpcap库开发。 原创文章欢迎转载,请保留出处。 若有任何疑问建议,欢迎回复。 邮箱:Maxwell_nc@163.com
linux系统利用可执行文件的Capabilities实现权限提升
whatday的专栏
10-25 3317
一、操作目的和应用场景 Capabilities机制是在Linux内核2.2之后引入的,原理很简单,就是将之前与超级用户root(UID=0)关联的特权细分为不同的功能组,Capabilites作为线程(Linux并不真正区分进程和线程)的属性存在,每个功能组都可以独立启用和禁用。其本质上就是将内核调用分门别类,具有相似功能的内核调用被分到同一组中。 这样一来,权限检查的过程就变成了:在执行特权操作时,如果线程的有效身份不是root,就去检查其是否具有该特权操作所对应的capabilities,并以此为
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值